Certificacao Digital

Infraestrutura de Chaves Pblicas Brasileira
DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL DOC-ICP-01 - verso 4.1 17 de junho de 2010
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1
1/34
Sumrio
1. INTRODUO...............................................................................................................................9 1.1. Viso Geral...............................................................................................................................9 1.2. Identificao.............................................................................................................................9 1.3. Comunidade e Aplicabilidade...................................................................................................9 1.4. Dados de Contato.....................................................................................................................9 2. DISPOSIES GERAIS.................................................................................................................9 2.1. Obrigaes..............................................................................................................................10 2.1.1. Obrigaes da AC Raiz...................................................................................................10 2.1.2. Obrigaes da AR...........................................................................................................10 2.1.3. Obrigaes do Titular do Certificado..............................................................................10 2.1.5. Obrigaes do Repositrio..............................................................................................11 2.2. Responsabilidades..................................................................................................................11 2.2.1. Responsabilidades da AC Raiz.......................................................................................11 2.2.2 Responsabilidades da AR.................................................................................................11 2.3. Responsabilidade Financeira..................................................................................................11 2.3.1. Indenizaes pelos usurios de certificados...................................................................11 2.3.2. Relaes Fiducirias.......................................................................................................11 2.3.3. Processos Administrativos..............................................................................................11 2.4. Interpretao e Execuo........................................................................................................11 2.4.1. Legislao.......................................................................................................................11 2.4.2. Forma de interpretao e notificao..............................................................................11 2.4.3. Procedimentos de soluo de disputa.............................................................................12 2.5. Tarifas de Servio...................................................................................................................12 2.5.1. Tarifas de emisso e renovao de certificados..............................................................12 2.5.2. Tarifas de acesso ao certificado......................................................................................12 2.5.3. Tarifas de revogao ou de acesso informao de status.............................................12 2.5.4. Tarifas para outros servios............................................................................................12 2.6 Publicao e Repositrio.........................................................................................................12 2.6.1. Publicao de informao da AC Raiz...........................................................................12 2.6.2. Freqncia de publicao ...............................................................................................12 2.6.3. Controles de acesso.........................................................................................................13 2.6.4. Repositrios....................................................................................................................13 2.7. Fiscalizao e Auditoria de Conformidade ............................................................................13 2.8. Sigilo.......................................................................................................................................13 2.8.1. Tipos de informaes sigilosas.......................................................................................13 2.8.2. Tipos de informaes no sigilosas................................................................................13 2.8.3. Divulgao de informao de revogao/suspenso de certificado................................14 2.8.5. Informaes a terceiros ..................................................................................................14 2.8.6. Divulgao por solicitao do titular..............................................................................14
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1 2/34
2.9. Direitos de Propriedade Intelectual........................................................................................14 3. IDENTIFICAO E AUTENTICAO.....................................................................................14 3.1. Registro Inicial.......................................................................................................................14 3.1.1. Tipos de nomes...............................................................................................................14 3.1.2. Necessidade de nomes significativos..............................................................................14 3.1.3. Regras para interpretao de vrios tipos de nomes ......................................................14 3.1.4. Unicidade de nomes........................................................................................................15 3.1.5. Procedimento para resolver disputa de nomes................................................................15 3.1.6. Reconhecimento, autenticao e papel de marcas registradas........................................15 3.1.7. Mtodo para comprovar a posse de chave privada ........................................................15 3.1.8. Identificao de uma organizao...................................................................................15 3.1.9. Autenticao da identidade de um indivduo..................................................................15 3.2. Criao de novo par de chaves antes da expirao do atual...................................................15 3.3. Criao de novo par de chaves aps revogao.....................................................................15 3.4. Solicitao de Revogao.......................................................................................................16 4. REQUISITOS OPERACIONAIS..................................................................................................16 4.1. Solicitao de Certificado.......................................................................................................16 4.2. Emisso de Certificado ..........................................................................................................16 4.3. Aceitao de Certificado ........................................................................................................16 4.4. Suspenso e Revogao de Certificado .................................................................................17 4.4.1. Circunstncias para revogao .......................................................................................17 4.4.2. Quem pode solicitar revogao ......................................................................................17 4.4.3. Procedimento para solicitao de revogao .................................................................17 4.4.4. Prazo para solicitao de revogao ..............................................................................18 4.4.5. Circunstncias para suspenso .......................................................................................18 4.4.6. Quem pode solicitar suspenso ......................................................................................18 4.4.7. Procedimento para solicitao de suspenso .................................................................18 4.4.8. Limites no perodo de suspenso ...................................................................................18 4.4.9. Freqncia de emisso de LCR .....................................................................................18 4.4.10. Requisitos para verificao de LCR ............................................................................18 4.4.11. Disponibilidade para revogao/verificao de status on-line .....................................18 4.4.12. Requisitos para verificao de revogao on-line .......................................................18 4.4.13. Outras formas disponveis para divulgao de revogao............................................19 4.4.14. Requisitos para verificao de outras formas de divulgao de revogao .................19 4.4.15. Requisitos especiais para o caso de comprometimento de chave ................................19 4.5. Procedimentos de Auditoria de Segurana ............................................................................19 4.5.1. Tipos de eventos registrados ..........................................................................................19 4.5.2. Freqncia de auditoria de registros ..............................................................................20 4.5.3. Perodo de reteno para registros de auditoria .............................................................20 4.5.4. Proteo de registros de auditoria ..................................................................................20 4.5.5. Procedimentos para cpia de segurana (Backup) de registros de auditoria..................20 4.5.6. Sistema de coleta de dados de auditoria ........................................................................20 4.5.7. Notificao de agentes causadores de eventos ..............................................................20 4.5.8. Avaliaes de vulnerabilidade .......................................................................................20
4.6. Arquivamento de Registros....................................................................................................20 4.6.1. Tipos de registros arquivados ........................................................................................20 4.6.2. Perodo de reteno para arquivo ...................................................................................20 4.6.3. Proteo de arquivo .......................................................................................................21 4.6.4. Procedimentos de registros de arquivo ..........................................................................21 4.6.5. Requisitos para datao de registros ..............................................................................21 4.6.6. Sistema de coleta de dados de arquivo ..........................................................................21 4.6.7. Procedimentos para obter e verificar informao de arquivo ........................................21 4.7. Troca de chave .......................................................................................................................21 4.8. Comprometimento e Recuperao de Desastre .....................................................................21 4.8.1. Recursos computacionais, software, e/ou dados corrompidos ......................................21 4.8.2. Revogao de certificado da entidade ...........................................................................22 4.8.3. Comprometimento de chave de entidade .......................................................................22 4.8.4. Segurana dos recursos aps desastre de qualquer espcie ...........................................22 4.9. Extino da AC Raiz .............................................................................................................22 5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL ...................22 5.1. Controles Fsicos ...................................................................................................................22 5.1.1. Construo e localizao das instalaes .......................................................................22 5.1.2. Acesso fsico ..................................................................................................................22 5.1.3. Energia e ar condicionado ..............................................................................................22 5.1.4. Exposio gua ...........................................................................................................23 5.1.5. Preveno e proteo contra incndio ...........................................................................23 5.1.6. Armazenamento de mdia ..............................................................................................23 5.1.7. Destruio de lixo ..........................................................................................................23 5.1.8. Instalaes de segurana (backup) externas (off-site) para AC......................................23 5.2. Controles Procedimentais ......................................................................................................23 5.2.1. Perfis qualificados ..........................................................................................................23 5.2.2. Nmero de pessoas necessrio por tarefa ......................................................................24 5.2.3. Identificao e autenticao para cada perfil .................................................................24 5.3. Controles de Pessoal...............................................................................................................24 5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade .............................24 5.3.2. Procedimentos de verificao de antecedentes ..............................................................24 5.3.3. Requisitos de treinamento ..............................................................................................25 5.3.4. Freqncia e requisitos para reciclagem tcnica ............................................................25 5.3.5. Freqncia e seqncia de rodzio de cargos .................................................................25 5.3.6. Sanes para aes no autorizadas ...............................................................................25 5.3.7. Requisitos para contratao de pessoal ..........................................................................25 5.3.8. Documentao fornecida ao pessoal ..............................................................................25 6. CONTROLES TCNICOS DE SEGURANA ...........................................................................25 6.1. Gerao e Instalao do Par de Chaves .................................................................................25 6.1.1. Gerao do par de chaves ..............................................................................................25 6.1.2. Entrega da chave privada entidade ..............................................................................26 6.1.3. Entrega da chave pblica para emissor de certificado ...................................................26 6.1.4. Disponibilizao de chave pblica da AC Raiz para usurio.........................................26
6.1.5. Tamanhos de chave ........................................................................................................26 6.1.6. Gerao de parmetros de chaves assimtricas .............................................................26 6.1.7. Verificao da qualidade dos parmetros .......................................................................26 6.1.8. Gerao de chave por hardware/software ......................................................................26 6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) .................27 6.2. Proteo da Chave Privada ....................................................................................................27 6.2.1. Padres para mdulo criptogrfico ................................................................................27 6.2.2. Controle n de m para chave privada ...........................................................................27 6.2.3. Custdia (escrow) de chave privada ..............................................................................27 6.2.4. Cpia de segurana de chave privada ............................................................................27 6.2.5. Arquivamento de chave privada ....................................................................................27 6.2.6. Insero de chave privada em mdulo criptogrfico .....................................................27 6.2.7. Mtodo de ativao de chave privada ............................................................................27 6.2.8. Mtodo de desativao de chave privada ......................................................................27 6.2.9. Mtodo de destruio de chave privada .........................................................................28 6.3 Outros Aspectos do Gerenciamento do Par de Chaves ..........................................................28 6.3.1. Arquivamento de chave pblica .....................................................................................28 6.3.2. Perodos de uso para as chaves pblica e privada .........................................................28 6.4 Dados de Ativao ..................................................................................................................28 6.4.1. Gerao e instalao dos dados de ativao ..................................................................28 6.4.2. Proteo dos dados de ativao .....................................................................................28 6.4.3. Outros aspectos dos dados de ativao ..........................................................................28 6.5. Controles de Segurana Computacional ................................................................................28 6.5.1. Requisitos tcnicos especficos de segurana computacional .......................................28 6.5.2. Classificao da segurana computacional ....................................................................29 6.6. Controles Tcnicos do Ciclo de Vida ....................................................................................29 6.6.1. Controles de desenvolvimento de sistema .....................................................................29 6.6.2. Controles de gerenciamento de segurana .....................................................................29 6.6.3. Classificaes de segurana de ciclo de vida .................................................................29 6.7. Controles de Segurana de Rede ...........................................................................................29 6.8. Controles de Engenharia do Mdulo Criptogrfico ..............................................................29 7. PERFIS DE CERTIFICADO E LCR ............................................................................................29 7.1. Perfil de Certificado da AC Raiz ...........................................................................................29 7.1.1. Nmero de verso ..........................................................................................................29 7.1.2. Extenses de certificado ................................................................................................30 7.1.3. Identificadores de algoritmo ..........................................................................................30 7.1.4. Formatos de nome ..........................................................................................................30 7.1.5. Restries de nome ........................................................................................................31 7.1.6. OID (Object Identifier) da DPC .....................................................................................31 7.1.7. Uso da extenso Policy Constraints ...........................................................................31 7.1.8. Sintaxe e semntica dos qualificadores de poltica ........................................................31 7.1.9. Semntica de processamento para as extenses crticas de PC......................................31 7.2. Perfil de Certificado da AC de nvel subseqente ao da AC Raiz..........................................31 7.2.1. Nmero(s) de verso ......................................................................................................31
7.2.2. Extenses de certificado ................................................................................................31 7.2.3. Identificadores de algoritmo ..........................................................................................31 7.2.4. Formatos de nome ..........................................................................................................31 7.2.5. Restries de nome ........................................................................................................32 7.2.6. OID (Object Identifier) da DPC .....................................................................................32 7.2.7. Uso da extenso Policy Constraints ...........................................................................32 7.2.8. Sintaxe e semntica dos qualificadores de poltica ........................................................32 7.2.9. Semntica de processamento para as extenses crticas de PC .....................................32 7.3. Perfil de LCR .........................................................................................................................32 7.3.1. Nmero(s) de verso ......................................................................................................32 7.3.2. Extenses de LCR e de suas entradas ............................................................................32 8. ADMINISTRAO DE ESPECIFICAO ...............................................................................33 8.1. Procedimentos de mudana de especificao ........................................................................33 8.2. Polticas de publicao e notificao .....................................................................................33 8.3. Procedimentos de aprovao da DPC ....................................................................................33 9. DOCUMENTOS REFERENCIADOS .........................................................................................33
6/34
CONTROLE DE ALTERAES
Resoluo que aprovou alterao Resoluo 81, de 17.06.2010 (verso 4.1) Resoluo 50, de 19.11.2008 (verso 4.0) Resoluo n 49, de 03.06.08 (verso 3.0) Item Alterado 7.1.2, 7.1.4, 7.2.4 Descrio da Alterao Incluso das cadeias V2 e V3
2.1.1.g, 2.7.1, 2.8.2.2, 2.8.2.3, 6.1.4.2.c Incluso de referncias a Carimbo de tempo 1.1.1, 1.1.2, 2.1.1, 2.1.4.2, 2.6.1.1, Item alterado ou excludo em funo 2.6.3.1, 2.8.3, 4.4.1.4, 4.4.1.5, 4.4.1.7, da gerao da segunda chave da AC 4.4.9, 4.4.10, 5.2.1.6, 6.1.1.1, 6.1.1.3, Raiz 6.1.8, 6.1.9, 6.2, 6.2.1, 6.2.2, 6.2.4.1, 6.2.6, 6.2.7, 6.2.8, 6.2.9, 6.3.2, 6.4.1, 6.4.2, 6.5.1.1, 6.6.2, 6.7, 6.8, 7.1, 7.1.1, 7.1.2, 7.1.3, 7.1.4, 7.3, 7.3.1, 7.3.2
2.6.1.4, 3.1.1, 5.3.3, 5.3.8, 6.3.1 3.1.7 7.2.2
Item alterado ou correo de redao
excludo
para
Item alterado para atualizao de padro internacional Item alterado para ficar em conformidade com o padro internacional Alterada a URL da pgina Web da AC Raiz para http://acraiz.icpbrasil.gov.br Criao do DOC-ICP-01 consolidando documentos anteriores
Resoluo 46, de 03.12.2007 (verso 2.1) Resoluo 38, de 18.04.2006 (verso 2.0)
2.6.1.1
Diversos
7/34
LISTA DE ACRNIMOS E SIGLAS

SIGLA AC AC Raiz ACT AR CG DN DPC DPCT ICP-Brasil IEC ISO ITI ITU LCR OID PC PCT PCN PS PSS RFC UTC DESCRIO Autoridade Certificadora Autoridade Certificadora Raiz da ICP-Brasil Autoridade de Carimbo do Tempo Autoridades de Registro Comit Gestor Distinguished Name Declarao de Prticas de Certificao Declarao de Prticas de Carimbo do Tempo Infraestrutura de Chaves Pblicas Brasileira International Electrotechnical Commission International Organization for Standardization Instituto Nacional de Tecnologia da Informao International Telecommunications Union Lista de Certificados Revogados Object Identifier Polticas de Certificado Poltica de Carimbo do Tempo Plano de Continuidade de Negcio Poltica de Segurana Prestadores de Servio de Suporte Request For Comments Coordinated Universal Time
8/34
1. INTRODUO 1.1. Viso Geral

1.1.1 Esta Declarao de Prticas de Certificao (DPC) descreve as prticas e os procedimentos empregados pelo Instituto Nacional de Tecnologia da Informao (ITI) na execuo dos seus servios como Autoridade Certificadora Raiz - AC Raiz da Infra-Estrutura de Chaves Pblicas Brasileira (ICP-Brasil). 1.1.2 A AC Raiz possui o certificado de nvel mais alto na ICP-Brasil. Esse certificado contm a chave pblica correspondente chave privada da AC Raiz, utilizada para assinar o seu prprio certificado, os certificados das ACS de nvel imediatamente subseqente ao seu e a sua Lista de Certificados Revogados (LCR). 1.1.3 A estrutura desta DPC est baseada na RFC 2527
1.2. Identificao
Esta DPC chamada "DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL" e comumente referida como "DPC da AC Raiz". O Object Identifier OID desta DPC 2.16.76.1.1.
1.3. Comunidade e Aplicabilidade

1.3.1. Autoridades Certificadoras Esta DPC refere-se unicamente Autoridade Certificadora Raiz - AC Raiz da ICP-Brasil. 1.3.2. Autoridades de Registro A atividade de identificao e cadastramento das ACs de nvel imediatamente subseqente ao da AC Raiz ser realizada junto com o processo de credenciamento, no havendo Autoridades de Registro (AR) no mbito da AC Raiz. 1.3.3. Prestador de Servios de Suporte A AC Raiz contrata o SERVIO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) como prestador de servios de suporte para disponibilizao de infra-estrutura fsica e lgica e de recursos humanos especializados. 1.3.4. Titulares de Certificado Os certificados emitidos pela AC Raiz tm como titulares a prpria AC-Raiz ou as ACs de nvel imediatamente subseqente ao seu. 1.3.5. Aplicabilidade Os certificados emitidos pela AC Raiz tm como objetivo nico identificar a prpria AC-Raiz ou as ACs de nvel imediatamente subseqente ao seu e divulgar suas chaves pblicas de forma segura.
1.4. Dados de Contato

Nome: Instituto Nacional de Tecnologia da Informao - ITI Endereo: SCN, Quadra 04, Bloco B, 11 andar, sala 1102 Ed. Centro Empresarial VARIG Telefone: (61) 3424-3853, 3424-3854, 3424-3856 Fax: (61) 3424-3910 Pgina web: http://www.iti.gov.br E-mail: acraiz@iti.gov.br
2. DISPOSIES GERAIS
9/34
2.1. Obrigaes
2.1.1. Obrigaes da AC Raiz Constituem obrigaes da AC Raiz: a) a gerao e o gerenciamento do seu par de chaves criptogrficas; b) a emisso e distribuio do seu certificado digital; c) a emisso, a expedio e a distribuio de certificados de AC de nvel imediatamente subseqente ao seu; d) a publicao de certificados por ela emitidos; e) a revogao de certificados por ela emitidos; f) a emisso, o gerenciamento e a publicao de sua Lista de Certificados Revogados LCR; g) a fiscalizao e a auditoria das ACs, das Autoridades de Carimbo do Tempo (ACTs), das ARs e dos Prestadores de Servio de Suporte (PSS) habilitados em conformidade com os critrios estabelecidos pelo Comit Gestor da ICP-Brasil (CG da ICP-Brasil); h) a implementao de acordos de certificao cruzada, conforme as diretrizes estabelecidas pelo CG da ICP-Brasil; i) adotar medidas de segurana e controle, previstas nesta DPC e na POLTICA DE SEGURANA DA ICP-BRASIL [1], envolvendo seus processos, procedimentos e atividades; j) manter os processos, procedimentos e atividades em conformidade com a legislao vigente e com as normas, prticas e regras estabelecidas pelo CG da ICP-Brasil; k) manter e garantir a integridade, o sigilo e a segurana da informao por ela tratada; e l) manter e testar regularmente seu Plano de Continuidade de Negcio (PCN). 2.1.2. Obrigaes da AR No se aplica. 2.1.3. Obrigaes do Titular do Certificado 2.1.3.1. Toda informao necessria para a identificao da AC titular de certificado deve ser fornecida de forma completa e precisa. Ao aceitar o certificado emitido pela AC Raiz, a AC titular responsvel por todas as informaes por ela fornecidas, contidas nesse certificado. 2.1.3.2. A AC titular de certificado emitido pela AC Raiz deve operar de acordo com a sua prpria Declarao de Prticas de Certificao (DPC) e com as Polticas de Certificado (PC) que implementar, estabelecidos em conformidade com os documentos REQUISITOS MNIMOS PARA AS DECLARAES DE PRTICAS DE CERTIFICAO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL [2] e REQUISITOS MNIMOS PARA POLTICAS DE CERTIFICADO NA ICP-BRASIL [3]. 2.1.3.3. A AC titular deve utilizar sua chave privada e garantir a proteo dessa chave conforme o previsto na sua prpria DPC. 2.1.3.4. A AC titular deve informar AC Raiz qualquer comprometimento de sua chave privada e solicitar a imediata revogao do seu certificado. 2.1.4. Direitos da terceira parte (Relying Party). 2.1.4.1 Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital. 2.1.4.2. Constituem direitos da terceira parte: a) recusar a utilizao do certificado para fins diversos dos previstos nesta DPC; b) verificar, a qualquer tempo, a validade do certificado. O certificado da AC Raiz ou um certificado de AC de nvel imediatamente subseqente ao da AC Raiz considerado vlido quando: i. tiver sido emitido pela AC Raiz; ii. no constar da LCR da AC Raiz;
10/34
iii. no estiver expirado; e; iv. puder ser verificado com o uso do certificado vlido da AC Raiz. 2.1.5. Obrigaes do Repositrio So disponibilizados no repositrio da AC Raiz, logo aps sua emisso, os certificados por ela emitidos e sua LCR.
2.2. Responsabilidades
2.2.1. Responsabilidades da AC Raiz A AC Raiz responde pelos danos a que der causa. 2.2.2 Responsabilidades da AR No se aplica.
2.3. Responsabilidade Financeira

2.3.1. Indenizaes pelos usurios de certificados O usurio responsvel pelos danos AC Raiz a que der causa 2.3.2. Relaes Fiducirias A AC Raiz responde pelos danos que der causa. 2.3.3. Processos Administrativos No se aplica.
2.4. Interpretao e Execuo

2.4.1. Legislao Esta DPC regida pela Medida Provisria N 2.200-2, de 24.08.2001, bem como pelas demais leis em vigor no Brasil. 2.4.2. Forma de interpretao e notificao 2.4.2.1. Na hiptese de uma ou mais das disposies desta DPC ser, por qualquer razo, considerada invlida, ilegal, ou no aplicvel por lei, tal inaplicabilidade no afetar as demais disposies, sendo esta DPC interpretada ento como se no contivesse tal disposio, e na medida do possvel, interpretada para manter a inteno original da DPC. 2.4.2.2. Os direitos e obrigaes previstos nesta DPC so de ordem pblica e indisponveis. 2.4.2.3.As notificaes, intimaes, solicitaes ou qualquer outra comunicao necessria sujeita s prticas descritas nesta DPC sero feitas, preferencialmente, por e-mail assinado digitalmente, ou, na sua impossibilidade, por ofcio da autoridade competente ou publicao no Dirio Oficial da Unio.
11/34
2.4.3. Procedimentos de soluo de disputa No caso de um conflito entre esta DPC e outras resolues do CG da ICP-Brasil, prevalecer sempre a ltima editada.
2.5. Tarifas de Servio

2.5.1. Tarifas de emisso e renovao de certificados 2.5.1.1. As tarifas de emisso e de renovao de certificado pela AC Raiz esto definidas no documento DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL [4]. 2.5.1.2. A nica forma de renovao de certificado realizada pela AC Raiz aquela descrita no item 3.2. 2.5.2. Tarifas de acesso ao certificado No se aplica. 2.5.3. Tarifas de revogao ou de acesso informao de status A tarifa de revogao de certificado pela AC Raiz, por solicitao da AC titular do certificado, esto definidas no documento DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICPBRASIL [4]. No h tarifa de acesso informao de status de certificado gerenciada pela AC Raiz. 2.5.4. Tarifas para outros servios Tarifas para outros servios da AC Raiz esto definidas no documento DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL [4]. 2.5.5. Poltica de reembolso No se aplica.
2.6 Publicao e Repositrio

2.6.1. Publicao de informao da AC Raiz 2.6.1.1. O certificado da AC Raiz, sua LCR e os certificados das ACs de nvel imediatamente subseqente ao seu so publicados na pgina Web da AC Raiz http://acraiz.icpbrasil.gov.br, obedecendo s regras e os critrios estabelecidos nesta DPC. 2.6.1.2. A lista das Autoridades Certificadoras que integram a ICP-Brasil tambm encontrada na pgina Web da AC Raiz. 2.6.1.3. A disponibilidade das informaes publicadas pela AC Raiz em sua pgina Web, tais como certificados, sua LCR, sua DPC, entre outras, de 99,99% (noventa e nove inteiros e noventa e nove dcimos por cento) do tempo, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana. 2.6.1.4. A AC Raiz inclui nos certificados emitidos a identificao da sua pgina web. 2.6.2. Freqncia de publicao Certificados so publicados imediatamente aps sua emisso. A publicao de LCR se d conforme o item 4.4.9.
12/34
2.6.3. Controles de acesso 2.6.3.1. No h qualquer restrio ao acesso para consulta a esta DPC, aos certificados emitidos e LCR da AC Raiz. 2.6.3.2. So utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou modificao dessas informaes a pessoal autorizado. 2.6.4. Repositrios O repositrio da AC Raiz est disponvel para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.
2.7. Fiscalizao e Auditoria de Conformidade

2.7.1. As fiscalizaes e auditorias realizadas no mbito da ICP-Brasil tm por objetivo verificar se os processos, procedimentos e atividades das entidades integrantes da ICP-Brasil esto em conformidade com suas respectivas DPC, PCs, DPCT, PCTs, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil. 2.7.2. As fiscalizaes das entidades integrantes da ICP-Brasil so realizadas pela AC Raiz, por meio de servidores de seu quadro prprio, a qualquer tempo, sem aviso prvio, observado o disposto no documento CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICPBRASIL [5]. 2.7.3. Com exceo da auditoria da prpria AC Raiz, que de responsabilidade do CG da ICP-Brasil, as auditorias das entidades integrantes da ICP-Brasil so realizadas pela AC Raiz, por meio de servidores de seu quadro prprio, ou por terceiros por ela autorizados, observado o disposto no documento CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL [9]. 2.7.4. As entidades integrantes da ICP-Brasil sofrem auditoria prvia, para fins de credenciamento, e auditorias anuais, para fins de manuteno de credenciamento, conforme disposto no documento citado no pargrafo anterior.
2.8. Sigilo
A chave privada de assinatura digital de cada AC credenciada gerada e mantida pela prpria AC, que deve assegurar seu sigilo. A divulgao ou utilizao indevida da chave privada de assinatura pela AC de sua inteira responsabilidade. 2.8.1. Tipos de informaes sigilosas Como princpio geral, todo documento, informao ou registro fornecido AC Raiz ser sigiloso. 2.8.2. Tipos de informaes no sigilosas 2.8.2.1. Certificados, LCR, e informaes corporativas ou pessoais que necessariamente faam parte deles ou de diretrios pblicos so consideradas informaes no sigilosas. 2.8.2.2. Os seguintes documentos da AC Raiz, das ACs de nvel imediatamente subseqente ao seu e das ACTs tambm so considerados documentos no sigilosos: a) qualquer PC aplicvel; b) qualquer DPC; c) qualquer PCT aplicvel; d) qualquer DPCT; e) verses pblicas de Poltica de Segurana - PS; f) a concluso dos relatrios da auditoria.
13/34
2.8.2.3. A AC Raiz tambm poder divulgar, de forma consolidada ou segmentada por tipo de certificado, a quantidade de certificados ou carimbos de tempo emitidos no mbito da ICP-Brasil. vedada, porm, a divulgao desse informao segmentada por AC ou AR emitentes. 2.8.3. Divulgao de informao de revogao/suspenso de certificado Informaes sobre revogao de certificados de AC de nvel imediatamente subseqente ao da AC Raiz so fornecidas na LCR da AC Raiz. As razes para a revogao de certificado sero tornadas pblicas. A suspenso de certificados no admitida no mbito da ICP-Brasil. 2.8.4. Quebra de sigilo por motivos legais Mediante ordem judicial, sero fornecidos quaisquer documentos, informaes ou registros sob a guarda da AC Raiz. 2.8.5. Informaes a terceiros Como diretriz geral, nenhum documento, informao ou registro sob a guarda da AC Raiz ser fornecido a qualquer pessoa, exceto quando a pessoa que requerer, atravs de instrumento devidamente constitudo, seja autorizada para faz-lo e esteja corretamente identificada. 2.8.6. Divulgao por solicitao do titular 2.8.6.1. O titular de certificado e seu representante legal tero amplo acesso a quaisquer dos seus prprios dados e identificaes, e podero autorizar a divulgao de seus registros a outras pessoas. 2.8.6.2. Autorizaes formais podem ser apresentadas de duas formas: a) por meio eletrnico, contendo assinatura vlida garantida por certificado reconhecido pela ICPBrasil; ou b) por meio de pedido escrito com firma reconhecida. 2.8.6.3. Nenhuma liberao de informao permitida sem autorizao formal. 2.8.7. Outras circunstncias de divulgao de informao No se aplica.
2.9. Direitos de Propriedade Intelectual

De acordo com a legislao vigente.
3. IDENTIFICAO E AUTENTICAO 3.1. Registro Inicial

3.1.1. Tipos de nomes As ACs de nvel imediatamente subseqente ao da AC Raiz, portanto titulares de certificados, tero um nome que as identifiquem univocamente no mbito da ICP-Brasil. 3.1.2. Necessidade de nomes significativos Todos os certificados emitidos pela AC Raiz devem incluir um identificador nico que represente a AC de nvel imediatamente subseqente para a qual o certificado foi emitido, conforme item 7.2.4. 3.1.3. Regras para interpretao de vrios tipos de nomes No se aplica.
14/34
3.1.4. Unicidade de nomes Identificadores Distinguished Name (DN) devem ser nicos para cada AC de nvel imediatamente subseqente ao da AC Raiz. Para cada AC, nmeros ou letras adicionais podem ser includos ao nome para assegurar a unicidade do campo, conforme o padro ITU X.509. A extenso Unique Identifiers no ser admitida para diferenciar as ACs com nomes idnticos. 3.1.5. Procedimento para resolver disputa de nomes A AC Raiz reserva-se o direito de tomar todas as decises referentes a disputas de nomes das ACs de nvel imediatamente subseqente ao seu. Durante o processo de autenticao, a AC que solicita o certificado deve provar o seu direito de uso de um nome especfico (DN) em seu certificado. 3.1.6. Reconhecimento, autenticao e papel de marcas registradas De acordo com a legislao em vigor. 3.1.7. Mtodo para comprovar a posse de chave privada A AC Raiz verifica se a AC credenciada possui a chave privada correspondente chave pblica para a qual est sendo solicitado o certificado digital. A RFC 2510 utilizada para essa finalidade. 3.1.8. Identificao de uma organizao A identificao de uma AC pela AC Raiz executada por meio dos procedimentos descritos no documento CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICPBRASIL [6]. 3.1.9. Autenticao da identidade de um indivduo No se aplica.
3.2. Criao de novo par de chaves antes da expirao do atual

3.2.1. O processo de gerao, pela AC Raiz, de um novo certificado para uma AC de nvel imediatamente subseqente ao seu pode ser feito de forma simplificada, antes da expirao da validade do certificado vigente da AC. 3.2.2. Para isto, um representante legal da AC deve preencher e assinar, em papel ou digitalmente, o formulrio REVALIDAO DOS DADOS CADASTRAIS E SOLICITAO DE NOVO CERTIFICADO [7]. Aps o recebimento desse formulrio, desde que a documentao esteja regularmente atualizada, a AC Raiz iniciar o processo de emisso do novo certificado.
3.3. Criao de novo par de chaves aps revogao

3.3.1. A solicitao de novo certificado de AC aps a revogao ou expirao do certificado anterior dever ser efetivada pelo preenchimento do formulrio REVALIDAO DOS DADOS CADASTRAIS E SOLICITAO DE NOVO CERTIFICADO [7]. Este formulrio dever ser assinado por representante legalmente constitudo da AC e entregue junto AC Raiz. Aps o recebimento desse formulrio, desde que a documentao esteja regularmente atualizada, a AC Raiz iniciar o processo de emisso do novo certificado. 3.3.2. Os processos descritos nos itens 3.2. e 3.3 acima so comumente chamados de processos de renovao de certificados de AC de nvel imediatamente subseqente ao da AC Raiz.
15/34
3.4. Solicitao de Revogao

3.4.1. O solicitante da revogao de certificado dever ser identificado. Somente os agentes descritos no item 4.4.2 podem solicitar a revogao do certificado de uma AC de nvel imediatamente subseqente ao da AC Raiz. 3.4.2. O procedimento para solicitao de revogao de certificado pela AC Raiz est descrito no item 4.4.3. Solicitaes de revogao de certificados devem ser registradas.
4. REQUISITOS OPERACIONAIS 4.1. Solicitao de Certificado

4.1.1. A solicitao de certificado para uma AC de nvel imediatamente subseqente ao da AC Raiz s possvel aps o deferimento de seu pedido de credenciamento e a conseqente autorizao de funcionamento da AC em questo por parte da AC Raiz, conforme disposto no documento CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6]. 4.1.2. A AC deve encaminhar a solicitao de seu certificado AC Raiz por meio de seus representantes legais, utilizando o padro definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10].
4.2. Emisso de Certificado

4.2.1. A emisso de um certificado pela AC Raiz feita em cerimnia especfica, com a presena de representante da AC Raiz, da AC credenciada, de auditores e convidados, na qual so registrados todos os procedimentos executados. 4.2.2. A AC Raiz garante que a cerimnia de emisso de um certificado para AC de nvel imediatamente subseqente ao seu ocorre em, no mximo, 20 (vinte) dias teis aps a autorizao de funcionamento da AC em questo. 4.2.3. O certificado considerado vlido a partir do momento em que emitido. 4.2.4 A AC Raiz entrega o certificado emitido, em formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10], para o representante legal da AC credenciada presente cerimnia. 4.2.5. A emisso dos certificados da AC Raiz e das ACs de nvel imediatamente subseqente feita em equipamentos da AC Raiz que operam off-line. 4.2.6. A emisso de certificados pela AC Raiz para as ACs de nvel imediatamente subseqente estar condicionada: a) apresentao de aplice de contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificao digital e de registro, com cobertura suficiente e compatvel com o risco dessas atividades; e b) ao pagamento da tarifa a que se refere o pargrafo 3 do documento DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL [4]. 4.2.7. A Administrao Direta da Unio, dos Estados, do Distrito Federal e dos Municpios est dispensada do pagamento da tarifa e da apresentao da aplice previstas no item anterior.
4.3. Aceitao de Certificado

4.3.1. Quando a AC Raiz emite um certificado para uma AC de nvel imediatamente subseqente ao seu, ela garante que as informaes contidas nesse certificado foram verificadas de acordo com esta DPC. 4.3.2. No momento da entrega do certificado, durante a cerimnia de sua emisso pela AC Raiz, a AC atesta o seu recebimento por meio de assinatura de Termo de Acordo por seu representante legal. A
aceitao do certificado se d no momento em que os dados constantes do mesmo so verificados pela AC ou na primeira utilizao da chave privada correspondente. A verificao dos dados do certificado deve ser realizada pela AC titular no prazo de 2 (dois) dias teis, contados a partir do seu recebimento, aps o qual o certificado ser considerado aceito. 4.3.3. Ao aceitar o certificado, a AC titular: a) concorda com as responsabilidades, obrigaes e deveres a ela impostas pelo Termo de Acordo e esta DPC; b) garante que com seu conhecimento, nenhuma pessoa sem autorizao teve acesso chave privada associada com o certificado; c) afirma que todas as informaes de certificado fornecidas durante o processo de credenciamento so verdadeiras e esto reproduzidas no certificado de forma correta e completa. 4.3.4. A no aceitao de um certificado no prazo previsto implica a realizao de nova cerimnia, onde feita a revogao do certificado no aceito e a emisso de novo certificado.
4.4. Suspenso e Revogao de Certificado

4.4.1. Circunstncias para revogao 4.4.1.1. Um certificado de AC de nvel imediatamente subseqente ao da AC Raiz pode ser revogado a qualquer instante, por solicitao da prpria AC titular do certificado ou por deciso motivada da AC Raiz, resguardados os princpios do contraditrio e da ampla defesa. 4.4.1.2. Um certificado deve obrigatoriamente ser revogado: a) quando constatada emisso imprpria ou defeituosa do mesmo; b) quando for necessria a alterao de qualquer informao constante no mesmo; c) no caso de dissoluo da AC titular do certificado; ou d) no caso de comprometimento da chave privada da AC ou da sua mdia armazenadora. 4.4.1.3. A AC Raiz pode revogar ou determinar a revogao do certificado ou da certificao cruzada, conforme o caso, da AC que deixar de cumprir a legislao vigente ou as polticas, normas, prticas e regras estabelecidas para a ICP-Brasil. 4.4.1.4. As chaves pblicas dos certificados emitidos por AC dissolvida sero armazenadas por outra AC, aps aprovao da AC Raiz. 4.4.1.5. Quando houver mais de uma AC interessada, assumir a responsabilidade do armazenamento das chaves pblicas, aquela indicada pela AC que encerra as suas atividades. 4.4.1.6. A AC que encerra as suas atividades transferir, se for o caso, a documentao dos certificados digitais emitidos AC que tenha assumido a guarda das respectivas chaves pblicas. 4.4.1.7. Caso as chaves pblicas no tenham sido assumidas por outra AC, os documentos referentes aos certificados digitais e as respectivas chaves pblicas sero repassados AC Raiz. 4.4.2. Quem pode solicitar revogao A revogao do certificado de uma AC de nvel imediatamente subseqente ao da AC Raiz somente pode ser feita: a) por determinao da AC Raiz; b) por solicitao da AC titular do certificado; ou c) por determinao judicial. 4.4.3. Procedimento para solicitao de revogao 4.4.3.1 A solicitao de revogao do certificado AC Raiz deve ser efetivada pelo preenchimento do
17/34
formulrio SOLICITAO DE REVOGAO DE CERTIFICADO DE AC [8]. Esse formulrio dever ser assinado por seu representante legal. Quando utilizada a verso eletrnica do formulrio, ele deve ser assinado digitalmente e enviado AC Raiz. O formulrio pode tambm ser preenchido em papel, entregue pessoalmente pelo representante AC Raiz e assinado no ato da entrega. 4.4.3.2. O processo de revogao de um certificado de AC precedido, quando for o caso, do recebimento pela AC Raiz da solicitao de revogao e termina quando uma nova LCR, contendo o certificado revogado, emitida e publicada pela AC Raiz. Concludo esse processo, a AC Raiz informa AC afetada a revogao do certificado. 4.4.3.3. O prazo para a revogao de certificado de AC de nvel imediatamente subseqente ao da AC Raiz de no mximo 2 (duas) horas e conta-se a partir do recebimento pela AC Raiz da solicitao de revogao da AC titular do certificado ou da determinao de revogao emitida pela prpria AC Raiz. 4.4.3.4. Um certificado de AC revogado somente pode ser usado para a verificao de assinaturas geradas durante o perodo em que o referido certificado esteve vlido. 4.4.4. Prazo para solicitao de revogao A solicitao de revogao deve ser imediata quando configuradas circunstncias definidas no item 4.4.1 desta DPC. 4.4.5. Circunstncias para suspenso No permitida, no mbito da ICP-Brasil, a suspenso de certificados de AC de nvel imediatamente subseqente ao da AC Raiz. 4.4.6. Quem pode solicitar suspenso No se aplica. 4.4.7. Procedimento para solicitao de suspenso No se aplica. 4.4.8. Limites no perodo de suspenso No se aplica. 4.4.9. Freqncia de emisso de LCR A LCR da AC Raiz atualizada a cada 90 (noventa) dias. Em caso de revogao de certificado de AC de nvel imediatamente ao seu, a AC Raiz emite nova LCR no prazo previsto no item 4.4.3 e notifica todas as ACs de nvel imediatamente subseqente ao seu. 4.4.10. Requisitos para verificao de LCR Todos os certificados das ACs de nvel imediatamente subseqente ao da AC Raiz devem ter a validade verificada, na LCR da AC Raiz, antes de serem utilizados. Tambm deve ser verificada a autenticidade da LCR da AC Raiz, por meio da verificao da assinatura da AC Raiz e do perodo de validade da LCR. 4.4.11. Disponibilidade para revogao/verificao de status on-line No sero aceitos pedidos de revogao on-line ao sistema de certificao da AC Raiz. A nica forma de consulta on-line de status de certificado a realizada por meio da LCR. 4.4.12. Requisitos para verificao de revogao on-line No aplicvel.
18/34
4.4.13. Outras formas disponveis para divulgao de revogao Informaes de revogao de certificado de AC de nvel imediatamente subseqente ao da AC Raiz tambm podem ser divulgadas por meio de sua publicao no Dirio Oficial da Unio ou na pgina web da AC Raiz. 4.4.14. Requisitos para verificao de outras formas de divulgao de revogao As formas de verificao de revogao descritas no item anterior so meramente informativas. 4.4.15. Requisitos especiais para o caso de comprometimento de chave 4.4.15.1. No caso do comprometimento da chave privada de uma AC de nvel imediatamente subseqente ao da AC Raiz, a mesma deve notificar imediatamente a AC Raiz. 4.4.15.2. Uma AC deve garantir que a sua DPC contenha determinaes que definam os meios que sero utilizados para se notificar um comprometimento ou suspeita de comprometimento.
4.5. Procedimentos de Auditoria de Segurana

4.5.1. Tipos de eventos registrados 4.5.1.1. Todas as aes executadas pelo pessoal da AC Raiz no desempenho de suas atribuies so registradas de modo que cada ao esteja associada pessoa que a realizou. 4.5.1.2. A AC Raiz registra em arquivos de auditoria todos os eventos relacionados segurana do sistema de certificao. Dentre outros, os seguintes eventos devem obrigatoriamente estar includos no arquivo de auditoria: a) iniciao e desligamento do sistema de certificao; b) tentativas de criar, remover, definir senhas ou mudar os privilgios de sistema dos operadores da AC Raiz; c) mudanas na configurao da AC Raiz e/ou nas suas chaves; d) mudanas nas polticas de criao de certificados; e) tentativas de acesso (login) e de sada do sistema (logoff); f) tentativas no-autorizadas de acesso aos arquivos de sistema; g) gerao de chaves prprias da AC Raiz; h) emisso e revogao de certificados; i) gerao de LCR; j) tentativas de iniciar, remover, habilitar e desabilitar usurios, e de atualizar e recuperar suas chaves; e k) operaes falhas de escrita e leitura no diretrio de certificados e da LCR. 4.5.1.3. Todos os registros de auditoria, eletrnicos ou manuais, devem conter a data e a hora do evento e a identidade do usurio que o causou. A AC Raiz tambm coleta e consolida, eletrnica ou manualmente, informaes de segurana no geradas diretamente pelo sistema de certificao, tais como: a) registros de acessos fsicos; b) manuteno e mudanas na configurao dos seus sistemas; c) mudanas de pessoal; d) relatrios de discrepncia e comprometimento; e e) registros de destruio de mdia contendo chaves criptogrficas, dados de ativao de certificados ou informao pessoal de usurio. 4.5.1.4 Para facilitar o processo de auditoria, toda a documentao relacionada aos servios da AC Raiz coletada e consolidada, eletrnica ou manualmente, num local nico, conforme a PS da ICP-Brasil.
19/34
4.5.2. Freqncia de auditoria de registros 4.5.2.1. A AC Raiz garante que seus registros de auditoria so analisados mensalmente, sempre que houver utilizao de seu sistema de certificao (equipamento off-line, que permanece desligado grande parte do tempo) ou em caso de suspeita de comprometimento da segurana. 4.5.2.2. Todos os eventos significativos so explicados em relatrio de auditoria de registros. Tal anlise envolve uma inspeo breve de todos os registros, verificando que no foram alterados, seguida de uma investigao mais detalhada de quaisquer alertas ou irregularidades nos mesmos. Todas as aes tomadas em decorrncia dessa anlise so documentadas. 4.5.3. Perodo de reteno para registros de auditoria A AC Raiz mantm em suas prprias instalaes os seus registros de auditoria por pelo menos 2 (dois) meses e, subseqentemente, os armazena da maneira descrita no item 4.6. 4.5.4. Proteo de registros de auditoria O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivos de auditoria contra leitura no autorizada, modificao e remoo. Informaes manuais de auditoria tambm so protegidas contra a leitura no autorizada, modificao e remoo. 4.5.5. Procedimentos para cpia de segurana (Backup) de registros de auditoria Os registros de eventos e sumrios de auditoria do equipamento off-line utilizado pela AC Raiz tm cpias de segurana mensais ou sempre que houver alguma utilizao desse equipamento. 4.5.6. Sistema de coleta de dados de auditoria O sistema de coleta de dados de auditoria interno AC Raiz uma combinao de processos automatizados e manuais, executada por seu pessoal operacional ou por seus sistemas. 4.5.7. Notificao de agentes causadores de eventos Quando um evento registrado pelo conjunto de sistemas de auditoria, nenhuma notificao enviada pessoa, organizao, dispositivo ou aplicao que causou o evento. 4.5.8. Avaliaes de vulnerabilidade Os eventos que representem possvel vulnerabilidade, detectados na anlise mensal dos registros de auditoria, so analisados detalhadamente e, dependendo de sua gravidade, so registrados em separado. Como decorrncia, aes corretivas so implementadas e registradas para fins de auditoria.
4.6. Arquivamento de Registros

4.6.1. Tipos de registros arquivados Informaes de auditoria detalhadas no item 4.5.1 e os processos de credenciamento de AC de nvel imediatamente subseqente ao da AC Raiz. 4.6.2. Perodo de reteno para arquivo A documentao relativa aos eventos relacionados no item anterior so retidos pelo seguinte perodo: a) certificados de assinatura digital e respectivas LCR devero ser retidos permanentemente, para fins de consulta histrica; b) as cpias dos processos de credenciamento de AC por no mnimo, por 30 (trinta) anos a contar da
data de expirao ou revogao do certificado; e c) as demais informaes, inclusive arquivos de auditoria, devero ser retidas por, no mnimo, 6 (seis) anos. 4.6.3. Proteo de arquivo Todos os arquivos so protegidos e armazenados fisicamente com os mesmos requisitos de segurana que os de sua instalao. 4.6.4. Procedimentos de registros de arquivo 4.6.4.1. Uma segunda cpia de todo o material descrito no item 4.6.1 armazenada em local externo AC Raiz, recebendo o mesmo tipo de proteo utilizada por ela. 4.6.4.2. Essas cpias seguem os perodos de reteno definidos para os registros dos quais so cpias de segurana. 4.6.4.3. A AC Raiz verifica a integridade das cpias de segurana a cada 6 (seis) meses. 4.6.5. Requisitos para datao de registros Informaes de data e hora nos registros baseiam-se na hora oficial internacional, Coordinated Universal Time UTC e obedecem ao formato YYYYMMDDHHMMSSZ incluindo segundos mesmo que o nmero de segundos seja zero. 4.6.6. Sistema de coleta de dados de arquivo Todos os sistemas de coleta de dados de arquivo utilizados pela AC Raiz em seus procedimentos operacionais so internos. 4.6.7. Procedimentos para obter e verificar informao de arquivo A verificao de informao de arquivo deve ser solicitada formalmente AC Raiz, identificando de forma precisa o tipo e o perodo da informao a ser verificada. O solicitante da verificao de informao deve ser devidamente identificado.
4.7. Troca de chave

4.7.1 A AC de nvel imediatamente subseqente ao da AC Raiz dever iniciar, at 3 (trs) meses antes da data de expirao do seu certificado, o processo de gerao de novo par de chaves e de emisso de novo certificado. 4.7.2. Expirado o certificado de uma AC de nvel imediatamente subseqente ao seu, a AC Raiz remove imediatamente esse certificado do diretrio e de sua pgina Web, mantendo-o armazenado permanentemente para efeito de consulta histrica.
4.8. Comprometimento e Recuperao de Desastre

A AC Raiz possui um Plano de Continuidade do Negcio PCN, de carter sigiloso, testado pelo menos uma vez por ano, para garantir a continuidade dos seus servios crticos. 4.8.1. Recursos computacionais, software, e/ou dados corrompidos Procedimentos descritos no PCN da AC Raiz.
21/34
4.8.2. Revogao de certificado da entidade Procedimentos descritos no PCN da AC Raiz. 4.8.3. Comprometimento de chave de entidade Procedimentos descritos no PCN da AC Raiz. 4.8.4. Segurana dos recursos aps desastre de qualquer espcie Procedimentos descritos no PCN da AC Raiz.
4.9. Extino da AC Raiz

No caso de extino da AC Raiz, devem ser tomadas, no mnimo, as seguintes providncias: a) notificao de todas as entidades integrantes da ICP-Brasil; b) manuteno da operao da AC Raiz pelo perodo mnimo de 1 (um) ano aps a notificao de sua extino, salvo em casos de sucesso; c) armazenamento dos dados da AC Raiz pelo perodo previsto na legislao.
5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL 5.1. Controles Fsicos

5.1.1. Construo e localizao das instalaes A AC Raiz da ICP-Brasil, para a execuo dos seus servios ligados ao ciclo de vida do certificado, utiliza instalaes homologadas pelo CG da ICP-Brasil. 5.1.2. Acesso fsico 5.1.2.1 O acesso fsico s dependncias da AC Raiz onde so realizadas as atividades de AC Raiz gerenciado e controlado internamente conforme o previsto na Poltica de Segurana da ICP-Brasil. Chaves, senhas, cartes, identificaes biomtricas ou outros dispositivos so utilizados para controle de acesso. O acesso fsico monitorado e o seu controle assegura que apenas pessoas autorizadas participem das atividades pertinentes. 5.1.2.2 O sistema de certificao da AC Raiz est situado em uma sala-cofre, localizada nas suas instalaes. Segurana patrimonial e controles de segurana biomtricos restringem o acesso aos equipamentos da sala-cofre. 5.1.3. Energia e ar condicionado 5.1.3.1. A sala-cofre da AC Raiz, alm de conectada rede eltrica, dispe dos seguintes recursos, que permitem sua operao ininterrupta, mesmo em caso de interrupo no fornecimento de energia: a) gerador de porte compatvel; b) gerador de reserva; c) sistema de no-breaks; d) sistema de aterramento e proteo a descargas atmosfricas; e) iluminao de emergncia. 5.1.3.2. A rea tem um sistema de ar condicionado tolerante a falhas que controla calor e umidade, independente do sistema de ar condicionado do edifcio onde est localizado.
22/34
5.1.4. Exposio gua A sala-cofre da AC Raiz construda na forma de uma clula estanque, inteiria, imune a infiltraes e inundaes. 5.1.5. Preveno e proteo contra incndio 5.1.5.1. A sala-cofre possui sistema para deteco antecipada de fumaa atravs de partculas inicas e sistema de extino de incndio por gs. 5.1.5.2. Em caso de incndio nas instalaes da AC Raiz, o aumento da temperatura interna, dentro da sala-cofre, no dever exceder 50 (cinqenta) graus Celsius e a sala dever suportar essa condio por pelo menos 1 (uma) hora. 5.1.6. Armazenamento de mdia Para garantir a segurana de mdia armazenada, a AC Raiz dispe de ambientes especficos que garantem que as mdias neles armazenadas no sofram nenhum tipo de dano gerado por fatores externos. 5.1.7. Destruio de lixo Todos os documentos em papel com informaes sensveis so destrudos antes de ir para o lixo. Todos os dispositivos eletrnicos no mais utilizveis, que tenham sido anteriormente utilizados no armazenamento de informaes sensveis, so fisicamente destrudos. 5.1.8. Instalaes de segurana (backup) externas (off-site) para AC A AC Raiz possui instalao de backup que atende aos mesmos requisitos de segurana da instalao principal. Sua localizao tal que, em caso de sinistro que torne inoperante a instalao principal, a instalao de backup no atingida e pode se tornar totalmente operacional, em condies idnticas em, no mximo, 48 (quarenta e oito) horas.
5.2. Controles Procedimentais

5.2.1. Perfis qualificados 5.2.1.1. A AC Raiz garante a separao das tarefas para funes crticas, com o intuito de evitar que um empregado de m f utilize o sistema de certificao sem ser detectado. As aes de cada empregado esto limitadas de acordo com seu perfil. 5.2.1.2. A AC Raiz estabelece um mnimo de 3 (trs) perfis distintos para sua operao, distinguindo as operaes do dia-a-dia do sistema, o gerenciamento e auditoria dessas operaes, bem como o gerenciamento de mudanas substanciais no sistema. A diviso de responsabilidades entre os trs perfis a seguinte: 5.2.1.3. Gerente de Configuraes: a) configurao e manuteno do hardware e do software da AC Raiz; b) incio e trmino dos servios da AC Raiz; 5.2.1.4. Gerente de Segurana: a) gerenciamento dos operadores da AC Raiz; b) implementao das polticas de segurana da AC Raiz; c) verificao dos registros de auditoria; d) verificao do cumprimento desta DPC; 5.2.1.5. Administrador do Sistema: a) gerenciamento dos processos de iniciao dos usurios internos AC Raiz;
b) emisso, expedio, distribuio, revogao e gerenciamento de certificados; c) distribuio de cartes (tokens), quando for o caso. 5.2.1.6. Somente os empregados responsveis por tarefas descritas para o Gerente de Configuraes e o Administrador do Sistema tm acesso ao software e ao hardware do sistema de certificao da AC Raiz. 5.2.2. Nmero de pessoas necessrio por tarefa 5.2.2.1. Controle multiusurio, via o uso de segredo compartilhado, requerido para a gerao e a utilizao da chave privada da AC Raiz, conforme o descrito em 6.2.2. 5.2.2.2. Todas as tarefas executadas no ambiente onde est localizado o equipamento de certificao da AC Raiz necessitam da presena de no mnimo 2 (dois) empregados da AC Raiz. As demais tarefas da AC Raiz podem ser executadas por um nico empregado. 5.2.3. Identificao e autenticao para cada perfil 5.2.3.1. Todo empregado da AC Raiz tem sua identidade e perfil verificados antes de: a) ser includo em uma lista de acesso s instalaes da AC Raiz; b) ser includo em uma lista para acesso fsico ao sistema de certificao da AC Raiz; c) receber um certificado para executar suas atividades operacionais na AC Raiz; d) receber uma conta no sistema de certificao da AC Raiz. 5.2.3.2. Os certificados, contas e senhas utilizados para identificao e autenticao dos empregados devem: a) ser diretamente atribudos a um nico empregado; b) no permitir compartilhamento; c) ser restritos s aes associadas ao perfil para o qual foram criados.
5.3. Controles de Pessoal

Todos os empregados da AC Raiz que executam tarefas operacionais tm registrado em contrato ou termo de responsabilidade: a) os termos e as condies do perfil que ocupam; b) o compromisso de no divulgar informaes sigilosas a que tm acesso. 5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados admitido conforme o estabelecido na PS da ICP-Brasil. 5.3.2. Procedimentos de verificao de antecedentes Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados , anualmente, submetido a: a) verificao de antecedentes criminais; b) verificao de situao de crdito; c) verificao de histrico de empregos anteriores; d) comprovao de escolaridade e de residncia; e) assinatura de termos de sigilo e de responsabilidade especficos.
24/34
5.3.3. Requisitos de treinamento Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados recebe treinamento suficiente para o domnio dos seguintes temas: a) princpios e mecanismos de segurana da AC Raiz; b) software de certificao em uso na AC Raiz; c) atividades sob sua responsabilidade; e d) procedimentos de recuperao de desastres e de continuidade do negcio. 5.3.4. Freqncia e requisitos para reciclagem tcnica Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados manter-se- atualizado sobre eventuais mudanas tecnolgicas no sistema de certificao da AC Raiz. Treinamentos de reciclagem so realizados pela AC Raiz sempre que houver a necessidade. 5.3.5. Freqncia e seqncia de rodzio de cargos No estipuladas. 5.3.6. Sanes para aes no autorizadas Na eventualidade de uma ao no autorizada, real ou suspeita, realizada por pessoa responsvel por processo de emisso, expedio, distribuio, revogao ou gerenciamento de certificados, a AC Raiz suspende o seu acesso ao sistema de certificao e toma as medidas administrativas e legais cabveis. 5.3.7. Requisitos para contratao de pessoal O pessoal da AC Raiz no exerccio de atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados contratado conforme o estabelecido na PS da ICP-Brasil. 5.3.8. Documentao fornecida ao pessoal A AC Raiz disponibiliza para todo o seu pessoal: sua DPC; a) a PS da ICP-Brasil; b) documentao operacional relativa a suas atividades; c) contratos, normas e polticas relevantes para suas atividades.
6. CONTROLES TCNICOS DE SEGURANA

Compete AC Raiz acompanhar a evoluo tecnolgica e, quando necessrio, atualizar os padres e algoritmos criptogrficos utilizados na ICP-Brasil, publicando nova verso do documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10].
6.1. Gerao e Instalao do Par de Chaves

6.1.1. Gerao do par de chaves 6.1.1.1. O par de chaves criptogrficas da AC Raiz gerado pela prpria AC Raiz, em hardware especfico, conforme o detalhado em 6.1.8.
6.1.1.2. O par de chaves criptogrficas de uma AC de nvel imediatamente subseqente ao da AC Raiz gerado pela prpria AC, aps o deferimento do seu pedido de credenciamento e a conseqente autorizao de funcionamento no mbito da ICP-Brasil. 6.1.1.3. O algoritmo a ser utilizado para as chaves criptogrficas da AC Raiz est definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.2. Entrega da chave privada entidade No se aplica. 6.1.3. Entrega da chave pblica para emissor de certificado 6.1.3.1. A AC de nvel imediatamente subseqente ao da AC Raiz entrega AC Raiz cpia de sua chave pblica, em formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [10]. 6.1.3.2 Essa entrega feita por representante legalmente constitudo da AC, em cerimnia especfica, em data e hora previamente estabelecidas pela AC Raiz. Todos os eventos ocorridos nessa cerimnia so registrados para fins de auditoria. 6.1.4. Disponibilizao de chave pblica da AC Raiz para usurio 6.1.4.1. A entrega do certificado da AC Raiz para as ACs de nvel imediatamente subseqente ao seu feita no momento da disponibilizao do certificado da AC, utilizando-se para isto o formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.4.2. A disponibilizao do certificado da AC Raiz para os demais usurios da ICP-Brasil realizada por uma das seguintes formas: a) no momento da disponibilizao do certificado para seu titular; b) em diretrio; c) na pgina Web da AC Raiz ou das ACs e ACT integrantes da ICP-Brasil; d) por outros meios seguros definidos pelo CG da ICP-Brasil. 6.1.5. Tamanhos de chave O tamanho das chaves criptogrficas assimtricas da AC Raiz e das ACs de nvel imediatamente subseqente ao seu encontra-se definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.6. Gerao de parmetros de chaves assimtricas Os parmetros de gerao de chaves assimtricas da AC Raiz adotam o padro definido no documento PADRES E ALGORIOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.7. Verificao da qualidade dos parmetros Os parmetros so verificados de acordo com as normas referenciadas no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.8. Gerao de chave por hardware/software A AC Raiz utiliza um componente seguro de hardware para a gerao de seu par de chaves, de seu certificado, dos certificados das ACs de nvel imediatamente subseqente ao seu e para a gerao e assinatura de sua LCR. O componente seguro de hardware utiliza um mecanismo de deteco de violao.
26/34
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) A chave privada da AC Raiz utilizada apenas para a assinatura de seu prprio certificado, dos certificados das ACs de nvel imediatamente subseqente ao seu e de sua LCR.
6.2. Proteo da Chave Privada

A chave privada da AC Raiz armazenada de forma cifrada no mesmo componente seguro de hardware utilizado para sua gerao. O acesso a esse componente controlado por meio de chave criptogrfica de ativao. 6.2.1. Padres para mdulo criptogrfico O mdulo criptogrfico da AC Raiz adota o padro definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.2.2. Controle n de m para chave privada A chave criptogrfica de ativao do componente seguro de hardware que armazena a chave privada da AC Raiz dividida em 5 (cinco) partes e distribuda entre 5 (cinco) pessoas designadas pela AC Raiz. necessria a presena de apenas 3 (trs) dessas 5 (cinco) pessoas para a ativao do componente e a conseqente utilizao da chave privada da AC Raiz. 6.2.3. Custdia (escrow) de chave privada No permitida, no mbito da ICP-Brasil, a custdia (escrow) das chaves privadas da AC Raiz ou das ACs de nvel imediatamente subseqente. 6.2.4. Cpia de segurana de chave privada 6.2.4.1. A AC Raiz mantm cpia de segurana de sua prpria chave privada. Esta cpia armazenada cifrada e protegida com um nvel de segurana no inferior quele definido para a verso original da chave, e mantida pelo prazo de validade do certificado correspondente. 6.2.4.2. A AC Raiz no mantm cpia de segurana das chaves privadas das ACs de nvel imediatamente subseqente ao seu. 6.2.5. Arquivamento de chave privada No se aplica. 6.2.6. Insero de chave privada em mdulo criptogrfico A chave privada da AC Raiz inserida no mdulo criptogrfico de acordo com o estabelecido na RFC 2510. 6.2.7. Mtodo de ativao de chave privada A ativao da chave privada da AC Raiz implementada por meio do mdulo criptogrfico, aps identificao dos operadores responsveis. Esta identificao realizada por meio de senha e de dispositivo de controle de acesso em hardware (token). 6.2.8. Mtodo de desativao de chave privada Quando a chave privada da AC Raiz for desativada, em decorrncia de expirao ou revogao, esta deve ser eliminada da memria do mdulo criptogrfico. Qualquer espao em disco, onde a chave eventualmente estivesse armazenada, deve ser sobrescrito.
27/34
6.2.9. Mtodo de destruio de chave privada Alm do estabelecido no item 6.2.8, todas as cpias de segurana da chave privada da AC-Raiz devem ser destrudas, como tambm todos os discos rgidos, tokens, mdulos criptogrficos e qualquer mdia de armazenamento que as tenham hospedado por algum perodo.
6.3 Outros Aspectos do Gerenciamento do Par de Chaves

6.3.1. Arquivamento de chave pblica As chaves pblicas da AC Raiz e das ACs de nvel imediatamente subseqente ao seu so armazenadas permanentemente, aps a expirao dos certificados correspondentes, para verificao de assinaturas geradas durante seu prazo de validade. 6.3.2. Perodos de uso para as chaves pblica e privada A chave privada da AC Raiz utilizada apenas durante o perodo de validade do certificado correspondente. A chave pblica da AC Raiz pode ser utilizada durante todo o perodo de tempo determinado pela legislao aplicvel, para verificao de assinaturas geradas durante o prazo de validade do certificado correspondente.
6.4 Dados de Ativao

6.4.1. Gerao e instalao dos dados de ativao Os dados de ativao da chave privada da AC Raiz so nicos e aleatrios, instalados fisicamente em dispositivos de controle de acesso em hardware (token). 6.4.2. Proteo dos dados de ativao Os dados de ativao da chave privada da AC Raiz so protegidos contra uso no autorizado por meio de mecanismo de criptografia e de controle de acesso fsico. 6.4.3. Outros aspectos dos dados de ativao No se aplica.
6.5. Controles de Segurana Computacional

6.5.1. Requisitos tcnicos especficos de segurana computacional 6.5.1.1. A gerao do par de chaves da AC Raiz e dos certificados das ACs de nvel imediatamente subseqente ao seu deve ser realizada num ambiente off-line, para impedir o acesso remoto no autorizado. As informaes utilizadas nesses procedimentos devem ser mantidas no ambiente off-line, com acesso restrito. 6.5.1.2. Cada computador servidor da AC Raiz diretamente relacionado com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados possui as seguintes caractersticas: a) controle de acesso aos servios e perfis da AC Raiz; b) clara separao das tarefas e atribuies relacionadas a cada perfil da AC Raiz; c) uso de criptografia para segurana de base de dados; d) gerao e armazenamento de registros de auditoria da AC Raiz;
e) mecanismos internos de segurana para garantia da integridade de dados e processos crticos; e f) mecanismos para cpias de segurana (backup). 6.5.1.3 Essas caractersticas so implementadas pelo sistema operacional ou por meio da combinao deste com o software de certificao e mecanismos de segurana fsica. 6.5.2. Classificao da segurana computacional No se aplica.
6.6. Controles Tcnicos do Ciclo de Vida

6.6.1. Controles de desenvolvimento de sistema A AC Raiz utiliza um software projetado e desenvolvido por meio de uma metodologia formal rigorosa, especfica para ambientes de segurana crtica. 6.6.2. Controles de gerenciamento de segurana Uma metodologia formal de gerenciamento de configurao usada para instalao e contnua manuteno do sistema de certificao da AC Raiz. O software de certificao da AC Raiz instalado pelo prprio fabricante. Novas verses desse software somente sero instaladas aps comunicao do fabricante e testes em ambiente de homologao da AC Raiz. 6.6.3. Classificaes de segurana de ciclo de vida No se aplica.
6.7. Controles de Segurana de Rede

O computador servidor da AC Raiz que hospeda o sistema de certificao opera off-line, fisicamente desconectado de qualquer rede.
6.8. Controles de Engenharia do Mdulo Criptogrfico

O mdulo criptogrfico utilizado para armazenamento da chave privada da AC Raiz est em conformidade com o padro definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10].
7. PERFIS DE CERTIFICADO E LCR 7.1. Perfil de Certificado da AC Raiz

O formato de todos os certificados emitidos pela AC Raiz est em conformidade com o padro ITU X.509 ou ISO/IEC 9594. O certificado da AC Raiz o nico certificado auto-assinado da ICP-Brasil, e possui validade de 13 (treze) anos, podendo este prazo ser revisto de acordo com as definies estabelecidas pelo CG da ICP-Brasil. 7.1.1. Nmero de verso O certificado da AC Raiz implementa a verso 3 de certificado do padro ITU X.509.
29/34
7.1.2. Extenses de certificado O certificado da AC Raiz implementa as seguintes extenses previstas na verso 3 do padro ITU X.509: a) basicConstraints: contm o campo cA=True. O campo pathLenConstraint no utilizado. b) keyUsage: contm apenas os bits keyCertSign(5) e cRLSign(6) ligados. Os demais bits esto desligados. c) cRLDistributionPoints: contm o endereo na Web onde se obtm a LCR correspondente ao certificado: i) para certificados da cadeia inicial: http://acraiz.icpbrasil.gov.br/LCRacraiz.crl; ii) para certificados da cadeia V1: http://acraiz.icpbrasil.gov.br/LCRacraizv1.crl; iii) para certificados da cadeia V2: http://acraiz.icpbrasil.gov.br/LCRacraizv2.crl; iv) para certificados da cadeia V3: http://acraiz.icpbrasil.gov.br/LCRacraizv3.crl. d) Certificate Policies: especifica o Object Identifier (OID) da DPC da AC Raiz e o atributo id-qt-cps com o endereo na Web dessa DPC (http://acraiz.icpbrasil.gov.br/DPCacraiz.pdf). e) SubjectKeyIdentifier: contm o hash da chave pblica da AC Raiz. 7.1.3. Identificadores de algoritmo O certificado da AC Raiz assinado com o uso do algoritmo definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 7.1.4. Formatos de nome Os nomes do titular e do emissor do certificado da AC Raiz, constantes do campo Distinguished Name (DN), so os mesmos e seguem o padro ITU X.500/ISO 9594, como abaixo descrito: a) para certificado da cadeia inicial: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = Autoridade Certificadora Raiz Brasileira b) para certificado da cadeia V1: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = Autoridade Certificadora Raiz Brasileira v1 c) para certificado da cadeia V2 C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informao ITI CN = Autoridade Certificadora Raiz Brasileira v2 d) para certificado da cadeia V3: C = BR
30/34
O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informao ITI CN = Autoridade Certificadora Raiz Brasileira v3
7.1.5. Restries de nome No so admitidos caracteres especiais ou de acentuao nos campos do DN. 7.1.6. OID (Object Identifier) da DPC O OID desta DPC 2.16.76.1.1.0 7.1.7. Uso da extenso Policy Constraints No se aplica. 7.1.8. Sintaxe e semntica dos qualificadores de poltica No se aplica. 7.1.9. Semntica de processamento para as extenses crticas de PC No se aplica.
7.2. Perfil de Certificado da AC de nvel subseqente ao da AC Raiz

O formato de todos os certificados emitidos pela AC Raiz est em conformidade com o padro ITU X.509 ou ISO/IEC 9594. O certificado da AC de nvel subseqente ao da AC Raiz assinado pela AC Raiz, e possui validade de no mximo 8 (oito) anos, podendo este prazo ser revisto de acordo com as definies estabelecidas pelo CG da ICP-Brasil. 7.2.1. Nmero(s) de verso O certificado da AC de nvel imediatamente subseqente ao da AC Raiz implementa a verso 3 de certificado do padro ITU X.509. 7.2.2. Extenses de certificado O certificado da AC de nvel imediatamente subseqente ao da AC Raiz pode implementar quaisquer das extenses previstas na verso 3 do padro ITU X.509. 7.2.3. Identificadores de algoritmo O certificado de AC de nvel subseqente ao da AC Raiz assinado com o uso de algoritmo definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 7.2.4. Formatos de nome Os nomes do titular e do emissor do certificado de AC de nvel imediatamente subseqente ao da AC Raiz, constantes do campo Distinguished Name (DN), seguem o padro ITU X.500/ISO 9594, da seguinte forma:
31/34
DN do titular: C = BR O = ICP-Brasil OU = <CN da cadeia> CN = <nome da AC subordinada> DN do emissor: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = <CN da cadeia> 7.2.5. Restries de nome O nome da AC titular do certificado deve ser submetido aprovao no processo de credenciamento. No so admitidos caracteres especiais ou de acentuao nos campos do DN. 7.2.6. OID (Object Identifier) da DPC A AC de nvel imediatamente subseqente ao da AC Raiz deve informar neste item o OID fornecido para sua DPC pela AC Raiz. 7.2.7. Uso da extenso Policy Constraints No se aplica. 7.2.8. Sintaxe e semntica dos qualificadores de poltica No se aplica. 7.2.9. Semntica de processamento para as extenses crticas de PC No se aplica.
7.3. Perfil de LCR

7.3.1. Nmero(s) de verso A AC Raiz implementa a sua LCR conforme a verso 2 do padro ITU X.509. 7.3.2. Extenses de LCR e de suas entradas A LCR emitida pela AC Raiz implementa as seguintes extenses previstas na RFC 3280: a) AuthorityKeyIdentifier: contm o mesmo valor do campo Subject Key Identifier do certificado da AC Raiz; b) cRLNumber: contm um nmero seqencial para cada LCR emitida.
32/34
8. ADMINISTRAO DE ESPECIFICAO 8.1. Procedimentos de mudana de especificao

Qualquer alterao nesta DPC dever ser submetida pela AC Raiz aprovao do CG da ICP-Brasil.
8.2. Polticas de publicao e notificao

A AC Raiz comunicar, por escrito, qualquer alterao nesta DPC s AC integrantes da ICP-Brasil bem como a todas as ACs com as quais possui acordos de certificao cruzada. Dessa notificao constaro as alteraes efetuadas.
8.3. Procedimentos de aprovao da DPC

Os procedimentos de aprovao da DPC da AC Raiz so estabelecidos a critrio do CG da ICP-Brasil.
9. DOCUMENTOS REFERENCIADOS
9.1 .Os documentos abaixo so aprovados por Resolues do Comit-Gestor da ICP-Brasil, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues que os aprovaram. Ref. [1] [2] Nome do documento POLTICA DE SEGURANA DA ICP-BRASIL REQUISITOS MNIMOS PARA AS DECLARAES DE PRTICAS DE CERTIFICAO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL Cdigo DOC-ICP-02 DOC-ICP-05
[3] [4] [5] [6]
DOC-ICP-04 DOC-ICP-06 DOC-ICP-09 DOC-ICP-03
[9]
DOC-ICP-08
33/34
9.2. Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues Normativas que os aprovaram. Ref. [10] Nome do documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL Cdigo DOC-ICP-01.01
9.3. Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br . Ref. [7] [8] Nome do documento Formulrio REVALIDAO DOS DADOS CADASTRAIS E SOLICITAO DE NOVO CERTIFICADO Formulrio SOLICITAO DE REVOGAO DE CERTIFICADO DE AC Cdigo ADE-ICP.01.A ADE-ICP.01.B
34/34

Certificacao Digital

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Certificacao Digital

Enviado por

Direitos autorais:

Formatos disponíveis

Infraestrutura de Chaves Pblicas Brasileira

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

Infraestrutura de Chaves Pblicas Brasileira

Infraestrutura de Chaves Pblicas Brasileira

Infraestrutura de Chaves Pblicas Brasileira

Infraestrutura de Chaves Pblicas Brasileira

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

2.6.1.4, 3.1.1, 5.3.3, 5.3.8, 6.3.1 3.1.7 7.2.2

Item alterado ou correo de redao

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

LISTA DE ACRNIMOS E SIGLAS

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

1. INTRODUO 1.1. Viso Geral

1.3. Comunidade e Aplicabilidade

1.4. Dados de Contato

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

2.3. Responsabilidade Financeira

2.4. Interpretao e Execuo

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

2.5. Tarifas de Servio

2.6 Publicao e Repositrio

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

2.7. Fiscalizao e Auditoria de Conformidade

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

2.9. Direitos de Propriedade Intelectual

3. IDENTIFICAO E AUTENTICAO 3.1. Registro Inicial

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

3.2. Criao de novo par de chaves antes da expirao do atual

3.3. Criao de novo par de chaves aps revogao

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

3.4. Solicitao de Revogao

4. REQUISITOS OPERACIONAIS 4.1. Solicitao de Certificado

4.2. Emisso de Certificado

4.3. Aceitao de Certificado

Infraestrutura de Chaves Pblicas Brasileira

4.4. Suspenso e Revogao de Certificado

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

4.5. Procedimentos de Auditoria de Segurana

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

4.6. Arquivamento de Registros

Infraestrutura de Chaves Pblicas Brasileira

4.7. Troca de chave

4.8. Comprometimento e Recuperao de Desastre

Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1

Infraestrutura de Chaves Pblicas Brasileira

4.9. Extino da AC Raiz

5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL 5.1. Controles Fsicos